Fragen zu VPN

Am 24.09.2018, werden in der Zeit zwischen 21:00 Uhr und 09:00 Uhr des folgenden Tages Wartungsarbeiten am Server durchgeführt. Daher wird die Webseite in dieser Zeit nur eingeschränkt erreichbar sein.
  • Guten Tag,


    als Neuling möchte ich mich erst einmal für dieses super Forum bedanken. Ich benutze Thunderbird seit Jahren und habe hier bisher mit der Suche für jedes Problemchen eine Lösung finden können. Ich möchte mich vor allem auch für die tollen Hinweise jenseits des Thunderbird bedanken.


    Mein besonderer Dank gilt deshalb an dieser Stelle SusiTux, Peter Lehmann, muzel und edvoldi dafür, dass ihr über den Rand
    hinausschaut und euer Wissen weiter gebt. In anderen Foren wird man ja schon weggebissen, wenn man nur das Wort privat oder vpn erwähnt.
    Von euch habe ich viel gelernt und für mich übernommen. Dank des Tipps von Susi mit der virtuellen Maschine, die man nach Gebrauch einfach resetten kann, benutze ich sogar meine alte xp-Lizenz weiter. Geil!


    So, genug geschleimt. Ich wäre ja nicht hier, wenn ich nicht ein paar Fragen hätte, auf die ich bisher keine Antwort gefunden habe. Ich bin ein großer Freund des Privaten möchte mit meinen Kalendern von G* loskommen. Darum habe ich mir vor kurzem einen Raspberry gegönnt. Mit dem Linux komme ich ganz gut klar. Ich bin kein Profi aber ich benutze es schon eine ganze Weile. Mir fehlt leider etwas Wissen im Bereich Netzwerk, VPN und Zertifikate.
    Ich habe also gemäß eurer Tipps den Radicale installiert und dort meine Kalender eingerichtet. Das klappt soweit alles. Die Kontakte funzen auch, mit dem Sogo. Der nächste Schritt wäre jetzt, die Kalender für mein Android Phone erreichbar zu machen. Da stecke ich wissensmäßig jetzt fest.



    Ich habe eine Fritzbox. Deshalb habe ich gedacht, am einfachsten auch deren Fernzugang für die Dyn-IP und die Fritz-App für VPN auf dem Phone zu nutzen. Spricht aus eurer Sicht etwas dagegen? Wisst ihr, ob dieser Fernzugang einen Heartbeat hält? In den Anleitungen zu FritzVPN habe ich nichts zum Thema Schlüssel gelesen. Heißt das, die Schlüssel werden von dem Konfigurationsprogramm erzeugt?


    So, jetzt wird es richtig Off-Topic. Das wäre vielleicht auch was für ein Netzwerkforum. Ihr könnt mir aber sicher sagen, ob meine Idee so funktionieren kann oder ob das totaler Blödsinn ist. Ich möchte es gleich richtig machen, weil in Zukunft vielleicht Geräte zur Hausautomatisierung hinzukommen werden.
    Folgendes, VPN erlaubt ja den Zugriff in das gesamte Netzwerk. Ich bin mir nicht sicher ob ich das möchte. Außerdem könnten die 254 Adressen knapp werden. Könnte ich den Raspberry nicht in ein anderes Subnet legen? Also etwa so



    Subnet 1, LAN/WLAN mit allen Rechnern
    |
    Router - Fritzbox - Internet
    |
    Subnet 2, Raspberry + weitere Geräte



    Über VPN soll das nur das Subnet 2 erreichbar sein. Die Rechner im LAN nicht. In welchem Subnet müsste dann die Fritzbox sein? Geht das überhaupt?


    Sorry, ich bin eigentlich nicht blöd, was Computer angeht. In dieser Ecke kenne ich mich aber echt noch zu wenig aus.


    Vielen Dank!

    Einmal editiert, zuletzt von Bagalut () aus folgendem Grund: Die Formatierung war mir irgendwie durcheinander gekommen. Habe nachgebessert.

  • Hallo Bagulat,
    und willkommen im Forum!


    Und natürlich vielen Dank für die "Blumen". Ein Lob erfreut immer wieder und motiviert zum Weitermachen!


    Ich bin ein großer Freund des Privaten möchte mit meinen Kalendern von G* loskommen.

    Da bist du (nicht nur) bei mir an der richtigen Adresse und ich helfe dir dabei gern. Ich denke mal, du hast zu diesem Thema auch schon einige Beiträge von mir gelesen, so dass ich auf RasPi und Radicale nicht weiter eingehen muss. Wie du schreibst, funktioniert ja auch alles schon.


    Dass du eine Fritz-Box hast, vereinfacht jetzt einiges. Selbstverständlich können auch andere "Plastik-Router" mit VPN-Funktionen aufwarten, aber bei der Fritte ist es von vorn herein sehr gut gemacht. Die bekannten Sicherheitslücken sind meines Wissens auch beseitigt bzw, waren bei den Fritz-Boxen nie relevant.
    Zuerst brauchst du einen DynDSN-Zugang, damit du mit einem "Namen" von außen auf die Box kommst und nicht immer die IP benutzen musst. Da gibt es auch noch einige kostenlose Anbieter, aber es gibt auch gute Gründe, das Angebot von AVM zu nutzen. Einziger "Nachteil": du kannst dir nicht selbst einen benutzerfreundlichen Namen auswählen, sondern musst den nehmen, der dir von AVM zugewiesen wird. Ansonsten funktioniert dieser Dienst ausgezeichnet und auch sehr zuverlässig.
    Bei der Einrichtung nur den reinen DynDNS-Namen mit Passwort usw. erzeugen, aber keinerlei Freigaben auf der Box einrichten (also nur den oberen Haken setzen). Den sonst geöffneten Zugang auf deinen Router per https aus dem Internet betrachte ich als Schwachstelle, da nur durch das Passwort gesichert.


    Jetzt gibt es zwei Möglichkeiten, das VPN einzurichten.
    Die von AVM bereitgestellte Methode für Mausschubser, also per GUI, habe ich selbst nie genutzt. Es ist damit aber ganz schnell möglich, ein VPN zu konfigurieren. Einfach die Anleitung von AVM lesen und "losmachen".
    Ich habe mich entschlossen, ausgehend von meinen Erfahrungen in der Entwicklung und Konfiguration höherwertiger VPN, eine eigene Konfigurationsdatei zu erstellen und diese dann zu importieren. Dabei kannst du wirklich alle Optionen selber wählen, auch das Routing und auch welches Netz du darüber erreichen willst. Und selbstverständlich auch den PSK, welchen ich auch regelmäßig wechsele. Leider besteht im AVM-VPN keine Möglichkeit, mit X.509-Zertifikaten zu arbeiten. Entweder sie haben dieses Feature (bei einer Eigenentwicklung) nicht mit reingenommen oder bei vorhandenen Bibliotheken rausgepatcht.
    Mit meiner Beispielkonfiguration kannst du grundsätzlich folgende Konfigurationen erzeugen:
    - PC => DynDNS, nur LAN, fuer Linux und Windows, Shrew-Client
    - PC => DynDNS, LAN und Internet, fuer Linux und Windows, Shrew-Client
    - i.pod/Android => DynDNS, LAN und Internet, Androis:VPNCilla



    Durch entsprechende Bearbeitung der Konfigdatei kannst du bis zu 8 Konfigurationen in die Box laden. Mehr sind zwar möglich, werden aber in der GUI nicht dargestellt. Einfach die entsprechenden gewünschten Abschnitte bearbeiten/duplizieren und die nicht benötigten löschen.
    Du gehst bei deinen Experimenten auch keinerlei Risiko ein. Wenn was nicht klappt, dann löschst du dieses VPN und fängst neu an.


    Auf meinen Notebooks nutze ich den so genannten Shrew-Client als VPN-Endpunkt. Selbsterklärend, und auch bei AVM beschrieben.
    Auf den Androiden die App VPNCilla. Einfach Klasse! Selbsterklärend und kann auch das VPN wieder selbst aufbauen. (Ich telefoniere darüber im Urlaub, hole mir also meine heimische Rufnummer dorthin, wo ich gerade bin ... .)


    Und für Kalender und Adressbücher nutze ich die beiden Apps von Marten Gajda: CalDAV-Sync und CardDAV-Sync. Etwas besseres ist mir noch nicht untergekommen.


    Was das Routing betrifft, so ist das in der Konfigdatei deutlich beschrieben. Eigentlich auch selbsterklärend ... .
    Bei der Konfigdatei die Endung .txt entfernen.


    Weitere Fragen gerne.


    HTH!



    MfG Peter

  • Guten Morgen Peter,


    vielen Dank für die rasche Antwort. Darf ich trotzdem noch mal nachfragen? Ich erzähle am besten mal, was ich schon am Laufen haben und wo ich hinwill. Also, Caldav auf dem Raspberry funktionert. Auf dem Smartphone habe ich, auch nach einem Tipp aus diesem Forum, Testversionen von CalendarSync und ContactSync laufen. Funktioniert im WLAN bestens.
    Jetzt geht es um das VPN. Ich habe mir deine Konfigdatei angeschaut. Daraus ergeben sich ein paar Fragen.


    Sehe ich das richtig? Über den Parameter accesslist lässt sich festlegen, auf welche Geräte per VPN zugegriffen werden kann. Das wäre schonmal nicht schlecht. Nur werden mir wohl bald die IP-Adressen nicht mehr reichen. Dazu später.


    Die Sache mit den Schlüsseln/Zertifikaten ist mir nicht klar. Wie werden sie denn erzeugt und wo liegen die dann? Habe ich das selbst alles unter Kontrolle?


    Ich entnehme deiner Antwort, dass für die DynDNS-IP der Fritzfernzugang ok ist. Was ich dazu nicht weiß ist, wie sich das verhält, wenn die Verbindung unterbrochen wird. Nehmen wir mal an, ich fahre meine Fritzbox runter oder sie fällt aus irgendeinem Grund mal aus. Dann bleibt meine IP ja zuächst noch bei dem DynDNS hinterlegt. Um Missbrauch zu vermeiden, hätte ich gern einen DynDNS-Anbieter, der die Verbindung per Heartbeat kontrolliert und meine IP zurücksetzt, wenn die Verbindung unterbrochen wurde. Weißt du, ob das bei AVM der Fall ist?


    Nun zu meinem nächsten Spleen. Der ist komplett Off-Topic, spielt aber für das Aufsetzen des VPN vielleicht jetzt schon eine Rolle. Ich möchte im Haus ein paar Sensoren für Temperatur, Licht usw. installieren. Die kann ich über das Smartphone abfragen. Vielleicht baue ich auch noch ein paar Aktuatoren dazu, damit ich von unterwegs die Heizung aufdrehen kann, die Fenster schließen usw. .
    Damit könnte es passieren, dass mir irgendwann die Adressen ausgehen und ich die Subnetmask anpassen und/oder mehrere Subnetze einrichten muss. Ich dachte, da würde es sich anbieten, gleich jetzt im Zuge des VPN-Einrichtens zwei Subnetze anzulegen. Eines für die Rechner im Haus, eines für die Sensoren/Aktuatoren und den Raspberry. Mir ist aber nicht klar, in welches Subnet dann die Fritzbox muss, damit beide Netze über sie ins Internet kommen.


    Vielen Dank.

  • Hallo Bagulat,

    Sehe ich das richtig? Über den Parameter accesslist lässt sich festlegen, auf welche Geräte per VPN zugegriffen werden kann. Das wäre schonmal nicht schlecht. Nur werden mir wohl bald die IP-Adressen nicht mehr reichen.


    accesslist = "permit ip 192.168.188.0 255.255.255.0 192.168.188.201 255.255.255.255"; bedeutet:
    zugelassener IP-Bereich = 192.168.188.0 = eigenes Heimnetz (ich erinnere daran, diesem einen "unüblichen" Bereich zu geben, da sonst evtl. kein Routing!)
    Netzwerkmaste des eigenen Netzwerkes = 255.255.255.0 (also voller Zugriff zu diesem Netzwerk oder auch /24)
    IP des per VPN angeschlossenen Gerätes = 192.168.188.201 (also für jedes Gerät eine eigene IP, siehe auch "remote_virtualip")
    dessen Netzwerkmaske = 255.255.255.255 (nur diese eine IP)


    Warum dir in deinem eigenen Netzwerk die IP "bald nicht mehr reichen" sollen, ist mir unklar. ~250 Geräte im eigenen Netz?



    ch entnehme deiner Antwort, dass für die DynDNS-IP der Fritzfernzugang ok ist. Was ich dazu nicht weiß ist, wie sich das verhält, wenn die Verbindung unterbrochen wird. Nehmen wir mal an, ich fahre meine Fritzbox runter oder sie fällt aus irgendeinem Grund mal aus. Dann bleibt meine IP ja zuächst noch bei dem DynDNS hinterlegt. Um Missbrauch zu vermeiden, hätte ich gern einen DynDNS-Anbieter, der die Verbindung per Heartbeat kontrolliert und meine IP zurücksetzt, wenn die Verbindung unterbrochen wurde. Weißt du, ob das bei AVM der Fall ist?

    Sobald deine Fritte eine neue "offizielle" IP bekommt, meldet diese das an den DDNS-Server von AVM. (Das macht doch wohl jeder DDNS-Client) Und nach einigen Sekunden bis du wieder über deinen myfritz-Namen erreichbar. Teste es doch einfach - tut gar nicht weh. Einfach die Fritte neu starten oder eine neue Einwahl provozieren und von einem beliebigen Gerät einen ping auf den DDNS-Namen setzen.
    Das "Problem" ist eher, dass diese IP innerhalb des DNS-Caches des Clients hinterlegt ist! Also diesen mal "flushen" oder das Netzwerk neu starten.


    Die Sache mit den Schlüsseln/Zertifikaten ist mir nicht klar. Wie werden sie denn erzeugt und wo liegen die dann? Habe ich das selbst alles unter Kontrolle?

    Bei der Konfiguration per GUI wird ein PSK erzeugt. Frage mich bitte nicht, wie dieser aussieht und wieviel Bytes dieser hat. Ich habe diese Konfiguration ja nie genutzt.
    Bei meiner "händisch" erzeugten Konfiguration verwende ich 64 Byte große PSK, bestehend aus a-z, A-Z, 0-1 und den internationalen Sonderzeichen (dt. Sonderzeichen führen gern bei Passwörtern und Schlüsseln zu Problemen, ich denke aber, dass der Zeichenvorrat völlig ausreicht ;-))
    Ich verwende für jedes meiner ggw. 8 VPN-Konfigurationen ein (bzw. bei einigen auch zwei) unterschiedliche PSK bzw. Passwörter. Und im Androiden hacke ich diese selbstverständlich nicht per Hand ein, sondern ich erstelle auf dem PC einen QR-Code und scanne diesen dann mit einer QR-Code-App und dann via Zwischenablage.
    Und ich nehme mir vierteljährlich meine Konfiguration vor, ersetze die PSK/Passwörter und importiere die Konfiguration wieder in die Box. Die vorhandene Konfiguration wird dabei überschrieben, du kannst sie aber auch alle vorher löschen.
    Ich denke mal, damit hast du das "unter Kontrolle".
    BTW: Bei einem VPN, welches von einem Dritten programmiert, auf der Hardware implementiert und wo du selbst nicht rankommst, musst du immer dem Hersteller vertrauen. Wir wissen auch nicht, inwieweit per TR-069 der Hersteller oder der Provider in der Lage ist, etwas (deine PSK?) aus der Box auszulesen. Aber wir haben nichts besseres ... . (Und wenn, dann sind es ja "nur die guten" ;-))






    Nun zu meinem nächsten Spleen. Der ist komplett Off-Topic, spielt aber für das Aufsetzen des VPN vielleicht jetzt schon eine Rolle. Ich möchte im Haus ein paar Sensoren für Temperatur, Licht usw. installieren. Die kann ich über das Smartphone abfragen. Vielleicht baue ich auch noch ein paar Aktuatoren dazu, damit ich von unterwegs die Heizung aufdrehen kann, die Fenster schließen usw. .
    Damit könnte es passieren, dass mir irgendwann die Adressen ausgehen und ich die Subnetmask anpassen und/oder mehrere Subnetze einrichten muss. Ich dachte, da würde es sich anbieten, gleich jetzt im Zuge des VPN-Einrichtens zwei Subnetze anzulegen.

    Ja, dann kannst du aber nicht mehr von deinen PCs auf deine sonstigen Geräte zugreifen.
    Es hindert dich aber niemand daran, eine komplett anderes Subnetz zu wählen. Es gibt ja auch noch größere ... .
    Trotzdem, ich kann mir wirklich nicht vorstellen, dass du auf derart viele Geräte kommst.


    Meine Empfehlung ist und bleibt, im internen Netz nur ein Subnetz zu betreiben. Ich betrachte den Schutz durch das VPN als völlig ausreichen. Und für mich würden die Nachteile überwiegen, wenn ich dann nicht (von aussen und von innen) auf alle Geräte zugreifen könnte.
    Aber eines ist für mich Gesetz: Es gibt keinerlei Portweiterleitungen aus dem bösen Netz in mein Homenetz! Der einzige Zugang erfolgt über das VPN! Und bei einem richtig konfigurierten VPN hast du (eine zeitgemäße Internetverbindung des/der externen Clients mal vorausgesetzt, also wenigstens UMTS) keinerlei Unterschiede, ob aus dem Homenetz oder von außerhalb. (Doch einen: du musst die internen Clients per IP ansprechen. Eine Namensauflösung würde einen mächtigen Traffic verursachen - also versuche es gar nicht erst.)



    OK?



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    nochmals vielen Dank, dass du dir die Zeit für so ein Off-Topic-Anliegen nimmst. Ich will mal mit der Beantwortung deiner Frage beginnen.

    Warum dir in deinem eigenen Netzwerk die IP "bald nicht mehr reichen" sollen, ist mir unklar. ~250 Geräte im eigenen Netz?

    Das dachte ich zunächst auch. Wir haben in der Familie derzeit privat und beruflich insgesamt an PCs, Smartphones, Tablets, Amazon-Stick, PSP usw. ca. 20 Geräte im Netz. Da ist noch viel Luft nach oben.
    Wenn ich aber die Anzahl der Lampen, Thermostate, Fenster usw. zähle und dann berücksichtige, dass ich ggf. jeweils zwei Adressen pro Gerät benötige (Sensor/Aktuator), dann werden die 254 schnell knapp. Deshalb überlege ich, die Subnet Mask von /24 auf /23 zu setzen. Dann hätte ich 510 mögliche Adressen. Auch wenn ich die jetzt noch gar nicht benötige. In kleineren Schritten kann ich den Adressbereich ja nicht erweitern.

    Ja, dann kannst du aber nicht mehr von deinen PCs auf deine sonstigen Geräte zugreifen.

    Darum würde ich einen Router (ohne Modem) zwischen die Netze schalten. Vielleicht geht es aber viel einfacher über die Accesslist. Das habe ich noch nicht ganz verstanden. Ich mache es mal an einem Beispiel fest.
    Standardmäßig steht die Fritzbox auf


    192.168.178.x, Subnet Mask 255.255.255.0 -> 254 mögliche Adressen von 192.168.178.1 bis 192.168.178.254


    Angenommen, ich benutze in meinem Netzwerk nur ein Subnet und setze die Subnet Mask auf 255.255.254.0 (also /23). Dann hätte ich die 510 IP-Adressen im Bereich von 192.168.178.1 bis 192.168.179.254.
    Kann ich jetzt unter accesslist die gewohnte Subnet Mask von 255.255.255.0 setzen und damit erreichen, dass von außen nur auf die Adressen von 192.168.179.1 bis 192.168.179.254 zugegriffen werden kann? Das wäre ne coole Sache.

    Sobald deine Fritte eine neue "offizielle" IP bekommt, meldet diese das an den DDNS-Server von AVM.

    Ja, das ist mir soweit bekannt. Meine Frage nach dem Heartbeat bezog sich auf die Zeit, bis sich die "Fritte" wieder anmeldet. Das kann z.B. bei einem Stromausfall oder Defekt ja durchaus mal ein paar Studen dauern. In dieser Zeit zeigt die IP bei AVM noch immer auf meine alte IP. Die hat aber in der Zwischenzeit vielleicht schon jemand anderes bekommen. Falls AVM die Verbindung per Heartbeat überprüft, würden sie die gespeicherte alte IP sofort löschen können.

    Bei der Konfiguration per GUI wird ein PSK erzeugt.

    Danke, wieder was gelernt. Ich dachte bisher, VPN würde in der Art von Perfect Forward Secrecy funktionieren.

  • Ich fange mal "von unten" an.
    Das bei der Fritz-Box genutzte VPN ist ein ganz normales IPsec-VPN. Nix mit PFS.


    Bei einer Neueinwahl bekommst du in der Regel (fast immer) sofort eine neue IP. Und diese wird auch sofort an AVM gemeldet. Ich habe etliche male remote meinen Router neu gestartet und nach einem Leeren des DNS-Caches war die Box mit ihrem DDNS-Namen auch sehr schnell nach ihrem Neustart und dem Aufbau einer neuen Verbindung wieder erreichbar. Im Vergleich zur Zeit des Neustarts und dem Aushandeln einer neuen Verbindung spielte der eigentliche DDNS-Vorgang überhaupt keine Rolle.
    Der von mir erwähnte VPNCilla-Client erneuert die verloren gegangene Verbindung auch sofort nach Erreichbarkeit des Servers wieder. Das bemerke ich eigentlich nur, wenn ich telefoniere und die Verbindung abreißt.
    Was bei diesem VPN allerdings bekannt ist, ist der automatische Wechsel des internen symmetrischen Schlüssels zu jeder Stunde. Es ist also ganz normal, dass zu jeder Stunde das VPN mal einige wenige Sekunden abreißt und sofort wieder neu aufgebaut wird. Diesen Wert konnte ich auch bei meinen Parametertests nicht ändern. (BTW: bei dem erwähnten höherwertigen VPN erfolgt der Schlüsselwechsel aller 5 Minuten! WOWEREIT!)


    Adressbereiche:
    Du kannst den Adressbereich der Box doch frei wählen. Kannst sogar aus dem "privaten Bereich" das Class-A-Netz mit 10.x.x.x nehmen. Du musst also keinesfalls bei einem Class-C-Netz und der 192. ff bleiben.
    Was du unbedingt machen solltest, ist den Adressbereich zu ändern. Denn bist du irgendwann mal "hinter" der Fritz-Box eines Freundes, dann ist nix mehr mit Routing. Deswegen habe ich eben die 192.168.188.0 gewählt.


    OK?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    danke, dass du geduldig dran bleibst. Vielleicht habe ich dich immer noch nicht richtig verstanden und habe das berühmte Brett vor dem Kopf.

    Bei einer Neueinwahl bekommst du in der Regel (fast immer) sofort eine neue IP.

    Das ist mir soweit klar. Mir geht es um die Zeit zwischen Abbruch der Verbindung, meinetwegen durch Stromausfall, und der Neueinwahl. Vielleicht macht es Wikipedia verständlicher.

    Zitat


    Wird ein Rechner heruntergefahren oder vom Netz getrennt, so bleibt seine IP-Adresse dem Domainnamen zugeordnet. Falls die IP-Adresse offline ist, führen Verbindungsversuche erst mit mehreren Sekunden Verzögerung zu einem Timeout-Fehler. Wurde die IP-Adresse zwischenzeitlich einem anderen ISP-Kunden zugeordnet, so könnte dieser versuchen die Identität des vorherigen DDNS-Nutzers zu missbrauchen. Als Lösungsansatz kann ein Client bei einigen DDNS-Anbietern den Domainnamen beim Herunterfahren vorübergehend löschen. Ein anderer Ansatz ist die Verwendung von Heartbeats, um zu erkennen, sobald ein Rechner offline ist und dann den Domainnamen automatisch zu entfernen.

    Deshalb meine Frage, ob du weißt ob AVM oder ein anderer Provider den Heartbeat unterstützt. Kriegsentscheidend ist dieser Heartbeat jetzt nicht. Wenn es ein Provider anbietet, würde ich aber den nehmen.

    Du kannst den Adressbereich der Box doch frei wählen.

    Die 192.168.178.0 /24 hatte ich nur als Beispiel genannt. Die Anzahl der möglichen Host kann ich doch nur über die Subnet Mask steuern. (?)
    255.255.255.0 -> 254 Hosts
    255.255.254.0 -> 510 Hosts


    Mein Ziel ist es, nur einen bestimmten Bereich über VPN erreichbar zu machen. Ich glaube verstanden zu haben, dass ich über die Accesslist eine Liste an Adressen vorgeben kann. Ist das richtig?
    Meine zweite Frage wäre, ob ich, wenn ich in der Accesslist die Subnet Mask auf 255.255.255.0 setze, in der Fritzbox aber auf 255.255.254.0, damit die Anzahl der Hosts, die über VPN erreichbatr sind, auf 254 beschränken kann, ohne dass ich jede einzelne IP aufführen müsste.

  • Hallo Bagalut,


    auch wenn Du sehr freundlich geschrieben hast, Anfragen über eine Konversation sind nicht im Sinne eines Forums. Es ist auch den anderen Helfern gegenüber nicht sehr nett.
    Außerdem weißt Du ja nie, wann derjenige, den Du angeschrieben hast, die Nachricht liest. Ich habe im Moment sehr wenig Zeit für das Forum. Das wird wohl auch in den nächsten Wochen noch so sein. Es war mehr oder weniger Zufall, dass ich Deine PN gelesen habe. Also, bleib besser hier im Faden.


    Zu Deinen Fragen:

    • Ja, Du kannst mehrere Subnetze einrichten und den Zugriff auf das Internet über eine Fritzbox fahren. Dazu benötigst Du, wie Du schon geschrieben hast, einen zusätzlichen Router. Um die Fritzbox für beide Subnetze sichtbar zu machen, musst Du eine statische IP-Route einrichten, nicht zu verwechseln mit der statischen IP eines Gerätes. Dazu findest Du Anleitungen im Internet.
    • Die Berechnung bzgl. der Anzahl der Hosts ist richtig. Oder sagen wir mal so: ich komme zu demselben Ergebnis:
      192.168.178.0/23 ermöglicht Hostadressen von 192.168.178.1 bis 192.168.179.254. Abzüglich der Netzwerk- und Broadcastadressse bleiben 510 Adressen für Hosts.
      Ob das mit der Subnetzmaske in der Accesslist des VPNs funktioniert, weiß ich nicht. Ich lasse keinen Zugriff von außen auf unsere Fritzbox zu. Zur Not kannst Du aber die Hosts einzeln eingeben. Das erspart Dir auf jeden Fall den zweiten Router und das Aufsetzen der Subnetze.


      Obacht: Soweit ich mich erinnere gab es bei den Fritzboxen in der Vergangenheit einen bug bzgl. Subnetzmasken. Ich meine aber, der ist längst gefixt und betraf eh nur Subnetzmasken, die nicht auf Null enden. Die 255.255.254.0 sollte also funktionieren.

    • Ob AVM den Heartbeat unterstützt, weiß ich nicht. Das wirst Du wohl direkt bei AVM erfahren können. In diesem Fall lohnt sich eine Konversation.
    • Mein Rat: Verzichte auf Subnetze. Erweitere stattdessen den Adressbereich für die Hosts, indem Du den Netzwerkanteil auf /23 reduzierst. Auch wenn das schlimmstenfalls bedeutet, dass Du alle Hosts in die Accessliste eintragen musst.

    Gruß


    Susanne

  • Hi Bagulat,

    Deshalb meine Frage, ob du weißt ob AVM oder ein anderer Provider den Heartbeat unterstützt.

    Also mir ist kein Anbieter eines kostenlosen DDNS-Dienstes bekannt, welcher einen Heartbeat unterstützt. Also ein echtes regelmäßiges Abprüfen, ob der angemeldete Client überhaupt noch aktiv ist. Es mag sein, dass es Anbieter kostenpflichtiger Dienste gibt.
    Aber eine echte Notwendigkeit dafür wüsste ich nicht.
    Jeder DDNS-Client den ich kenne (sowohl der auf der Fritz-Box, aber auch alle, die auf ganz normalen Windows- und Linux-Clients, auf den verschiedensten NAS und anderen Geräten laufen) ist so programmiert, dass er nach dem Erhalt einer neuen "offiziellen" IP diese sofort dem DDNS-Server meldet, an welchem er angemeldet ist. Und darauf hin wird dann dort der DDNS-Name einer neuen IP zugeordnet.
    Dass meinem DDNS-Namen die IP zugeorndet bleibt, wenn ich die Box mal ein paar Tage ausschalten sollte, ist mir derart egal ... .


    Aber das kannst du ja jederzeit selbst testen. Bei einem oder zwei DDNS-Anbietern anmelden (ich: myfritz und no-ip.com), die Box ausschalten und mit dem Smartphone deine/n DDNS-Adressen anpingen ... .
    Fakt ist, wie schon geschrieben, dass alle gängigen DDNS-Anbieter die neue IP sehr schnell verbreiten. Es geht hier um wenige Minuten. (Und ich steuere über meine VPN auch kein Kernkraftwerk ;-))



    Noch mal zum IP-Bereich:
    Also, wenn du deinen IP-Bereich auf 10.x.x.x änderst, dürftest du wohl genügend freie IPs haben. Und ich bleibe dabei - ich gebe über das VPN mein gesamtes Homenetz frei. Alles andere macht mir nur völlig unnötigen Stress. Aber selbstverständlich ist es möglich, mit dem Routing Einschränkungen umzusetzen. Deshalb:
    1. Das VPN erst mal zum Laufen bekommen (mit dem gesamten Netz als Ziel, und
    2. dann mit dem Routing experimentieren.
    Jede Änderung der Konfiguration ist sowohl in der Box als auch auf dem Client innerhalb von 1-2 Minuten umgesetzt. => Da hättest du aber Mühe mit der originären AVM-GUI-Konfiguration ;-)



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Einmal editiert, zuletzt von Peter_Lehmann ()

  • Hallo Bagalut,


    weil heute Sonntag ist. Gerade gefunden, zum Thema Statische IP-Route, falls Du doch zwei Subnetze einrichten möchtest:
    http://avm.de/nc/service/fritz…-in-FRITZ-Box-einrichten/

    Also, wenn du deinen IP-Bereich auf 10.x.x.x änderst, dürftest du wohl genügend freie IPs haben.

    Das ist ja genau das, was er alternativ zu den Subnetzen vorhat. Nur muss man das halt über die Subnetzmaske machen. Bei 255.255.255.0 ergeben sich in jedem Fall nur 256 - 2 = 254 Hosts.


    Gruß


    Susanne

  • Vielen Dank SusiTux,


    ok, das mit der Konversation war keine gute Idee. Da hatte ich nicht ausreichend nachgedacht. Bitte nicht falsch verstehen. Ich muss sagen, für mich hat es sich trotzdem gelohnt. :D


    Du hast mir sehr geholfen. Ich habe jetzt den Adressbereich für die Hosts über 255.255.254.0 erweitert, die PCs usw. konfiguriert und dem Raspberry eine IP aus dem neuen Bereich verpasst. Das hat alles funktioniert. Super!


    Jetzt richte ich noch den Fritzfernzugang ein und werde die Accesslist für den Moment so anpassen, dass ich den Raspberry und testweise einen PC erreichen kann. Es sieht so aus als könnte ich dann bald mit meinem Projekt Heimautomatisierung loslegen. Das gesparte Geld für einen zusätzlichen Router kann ich gut in Sensoren investieren. Die Biester sind noch ziemlich teuer.


    Nochmal zum VPN. Nachdem ich nun wusste, wonach ich suchen musste, um das VPN auf bestimmte Hosts zu begrenzen, habe ich folgende Anleitung gefunden
    http://avm.de/service/vpn/prax…zbox-zu-fritzbox-lan-lan/


    Dort geht es um eine LAN-LAN Kopplung. In diesem speziellen Fall spielt das aber keine Rolle. Mir ging es ja nur um diese Zugangsliste. Vielleicht ist anderen damit auch geholfen.
    Den Heartbeat lasse ich jetzt mal Heartbeat sein. Dazu muss ich mich noch bei den Anbietern erkunden. Das ist jetzt nicht ganz so wichtig. Der Anbieter ist ja schnell gewechselt.


    Ich bin echt begeistert, wie das jetzt funzt.


    Einen lieben Dank auch nochmal an Peter für den Hinweis auf die Acceslist in der Konfigdatei.

  • Bitte nicht falsch verstehen. Ich muss sagen, für mich hat es sich trotzdem gelohnt.

    So, so, dann muss ich wohl schau, wo der Button zum Blacklisten ist. ;-)


    Spaß beiseite, will Dir sagen, weshalb ich trotzdem geantwortet habe. Auch wenn ich selbst nicht auf die Idee käme, unser Heim dem Internet preiszugeben, technisch finde ich Dein Projekt schon sehr reizvoll. Außerdem helfe ich gern, wenn jemand versucht, seine Daten der Auswertung durch ein Unternehmen zu entziehen.
    Weshalb man dann aber die Daten die Sensorik möglicherweise anderen Unternehmen zur Verfügung stellt, kann ich nicht ganz nachvollziehen. Oder sagen die Hersteller zu, dass die Sensoren nichts ins Internet senden?

  • So, finale Erfolgsmeldung. VPN funktioniert über Fritz. Kalender, Kontakte, ..., alles da. Ich sehe wie gewünscht nur die beiden Geräte. Und ich habe jetzt genug IPs zur Verfügung. Große Klasse.

    So, so, dann muss ich wohl schau, wo der Button zum Blacklisten ist.

    Ich schicke beim nächsten Mal einen Strauß Blumen mit. Eigentlich hättest du den jetzt schon verdient.

  • Hallo Bagalut,


    jetzt habe ich eine Fage an Dich. Ich bin gestern mehr oder weniger zufällig in den Einstellungen meiner Fritzbox darauf gestoßen, dass die Box den Bereich


    Adresse: 192.168.179.1
    Subnet: 255.255.255.0


    fest für das Gastnetz reserviert hat. Der Bereich lässt sich auch nicht verändern sondern ist fest vorgegeben. Das würde aber bedeuten, dass alle Adressen von 192.168.179.1 bis 192.168.179.255 für dieses Gastnetz reserviert sind. Das wiederum würde mit dem von Dir eingestellten Bereich 192.168.178.0 /23 kollidieren.


    Mit dieser Erkenntnis würde ich meine Empfehlung von oben:

    Verzichte auf Subnetze. Erweitere stattdessen den Adressbereich für die Hosts, indem Du den Netzwerkanteil auf /23 reduzierst.

    so nicht mehr aufrecht erhalten.


    Bei Dir funktioniert das aber? Hast Du den Gastzugang aktiviert? Falls nicht, könntest Du es testweise einmal ausprobieren? (keine Garantie meinerseits, dass Dir dabei nicht alles um Ohren fliegt.)
    Hast Du inzwischen weitere Sensoren im Netz? Mich würde interessieren, wie die Fritzbox damit von der Leistung her klarkommt. Auch wenn der Adressbereich es hergibt, lässt sie überhaupt mehr als 254 Geräte gleichzeitig zu? Ich kenne niemanden, der so viele Geräte an einer Box hat.


    Gruß


    Susanne

  • Du hast mir sehr geholfen. Ich habe jetzt den Adressbereich für die
    Hosts über 255.255.254.0 erweitert, die PCs usw. konfiguriert und dem
    Raspberry eine IP aus dem neuen Bereich verpasst. Das hat alles
    funktioniert. Super!

  • Hallo Susi,


    meine Lösung hielt nur wenige Tage. Dann schlug in der Nachbarschaft ein Blitz ein. Meine Fritzbox und eine paar andere Geräte starben den Überspannungstod.
    Bis der ganze Kram mit der Versicherung geklärt ist, hat mir mein Arbeitgeber einen CISCO Small Business RV 220W Router zur Verfügung gestellt. Der ist ein wenig komplizierter als eine Fritzbox und nicht so einfach einzurichten. Dafür kann er aber einiges mehr, z.B. VLANs usw. . Das bringt mich auf ganz neue Ideen. Muss mich aber erstmal einlesen.


    An der Fritzbox hatte soweit alles funktioniert. Sehr ausgiebig habe ich aber nicht getestet. Ich habe ja all die Sensorik noch nicht. Das Gast-LAN war deaktiviert. Vielleicht hat mich das vor der Adresskollision bewahrt?


    Grüße vom Bagalut

  • Vielleicht hat mich das vor der Adresskollision bewahrt?

    Wer weiß. Genau dies hatte ich gehofft, mit Deiner Hilfe herauszufinden. Aber mei, wos hii is ... . ;-)